WhiskerSpy 後門程序

網絡安全研究人員發現了一個名為 WhiskerSpy 的新後門，該後門已被一個名為 Earth Kitsune 的相對較新但先進的威脅組織所部署。該組織以針對對朝鮮表現出興趣的個人而聞名。

為了執行他們的攻擊，Earth Kitsune 組織使用了一種稱為水坑攻擊的方法，這是一種經過驗證的有效策略，可以訪問目標系統。在這次攻擊中，威脅行為者識別目標受眾經常訪問的網站，並用惡意軟件感染該網站，使他們能夠在訪問者訪問該站點時訪問訪問者的設備。在這個具體案例中，被入侵的網站是一個親朝鮮的網站，對朝鮮感興趣的人經常訪問該網站。

自 2019 年以來，安全研究人員一直在監控 Earth Kitsune 的活動，並在去年年底發現了這一最新活動。這一發現意義重大，因為它凸顯了這樣一個事實，即即使是相對較新的威脅行為者也變得越來越先進，並對個人和組織等構成重大威脅。

WhiskerSpy 感染使用水坑攻擊策略

WhiskerSpy 後門會提供給試圖在受感染網站上觀看視頻的訪問者。攻擊者已將損壞的腳本注入網站，提示訪問者安裝視頻編解碼器，據推測這是運行顯示的視頻內容所必需的。為了避免被發現，攻擊者修改了一個合法的編解碼器安裝程序，以便它最終在受害者的系統上加載一個以前看不見的後門。

據研究人員稱，威脅行為者僅針對具有來自沉陽、中國、日本名古屋和巴西的 IP 地址的網站訪問者。疑似巴西被利用VPN連接測試水坑攻擊，真正的目標是來自中國和日本兩個城市的訪客。相關受害者會收到一條虛假的錯誤信息，提示他們安裝編解碼器來觀看視頻。然而，編解碼器實際上是一個 MSI 可執行文件，它在受害者的計算機上安裝了一個 shellcode，觸發了一系列 PowerShell 命令，最終部署了 WhiskerSpy 後門。

在此活動中，Earth Kitsune 使用了幾種持久性技術來保持不被發現。其中一種方法是濫用 Google Chrome 中的本地消息傳遞主機，它安裝了一個名為 Google Chrome Helper 的受損 Google Chrome 擴展程序。該擴展允許在每次瀏覽器啟動時執行有效負載。另一種利用的技術利用 OneDrive 側載漏洞，該漏洞允許在 OneDrive 目錄中刪除不安全文件（偽造的“vcruntime140.dll”）。

WhiskerSpy 具有廣泛的威脅功能列表

WhiskerSpy 是作為 Earth Kitsune 攻擊活動的一部分部署的最終有效載荷。後門為遠程操作員提供各種功能，例如交互式 shell、下載、上傳和刪除文件、列出文件、截取屏幕截圖、加載可執行文件以及將 shellcode 注入進程的能力。

為了保持與命令和控制（C2、C&C）服務器的通信，WhiskerSpy 使用 16 字節的 AES 密鑰進行加密。後門會定期連接到 C2 服務器以接收有關其狀態的更新，服務器可能會響應惡意軟件的指令，例如執行 shell 命令、將代碼注入另一個進程、洩露特定文件或截取屏幕截圖。

研究人員發現了早期版本的 WhiskerSpy，它使用 FTP 協議而不是 HTTP 進行 C2 通信。這個較舊的變體還在執行時檢查調試器的存在，並通知 C2 適當的狀態代碼。這些發現突顯了隨著攻擊者調整和改進他們的工具和技術以逃避檢測並提高其有效性，惡意軟件在不斷發展。它強調需要強大和最新的安全措施來抵禦此類威脅。